Aynı ağda 2 yada daha fazla segment kullanma..

hoscakal

şöyle bir düşüncem var…

yeni bir yere taşınıyoruz 6 katlı bina vs vs..

yönetilebilir hp procurve 2525 switch alacağız.. ve her kat için vlan oluşturmayı düşünüyorum her vlan farklı segmentte olacak

mesela

vlan 1 muhasebe 172.0.0.0
vlan 2 satinalma  172.0.1.0
vlan 3 ...

ayrıca 6 katta da wireless şeklinde internet olacak
hangi kattaysa o vlan a üye olacak

şirket çalışanları için ayrı ssid gözükecek
misafirler ayrı ssid den girecek..

ama aynı internet i kullanacaklar ve segmentleri birbirlerinden farklı olacak

bu niye yapılır.. ağda bi problem olduğunda çözümü kolaylaşır... tespit kolay yapılır ve sadece o vlandaki bilgisayarlar etkilenir...

tabi işin şu kısmı var pfsense de kullanacağız. dhcp üzerinden mac adreslerine ip leri sabitleyeceğim ancak pfsense iki ya da daha fazla segmentte nasil ip dağıtacak..
bu işi switch üstlenirse log kaydı sıkıntı olacak

aklıma gelen ilk çözüm yöntemi şu

misafir'e ait kata 1 tane wireless routing koyarım o routing kişiyi ağa alır farklı bir segmentte ve internet e girmeye çalıştığında captive portal gelir kullanıcı adı şifreyi girer ve internet e çıkar...

ama routing e ip dağıttırırsam iç ip log tutmada sıkıntı yaşarım..

bu yapılandırma ile ilgili önerilerinizi bekliyorum kolay gelsin iyi çalışmalar

tuzsuzdeli

zaten her oluşturduğunuz vlan için pfsense üzerinde bir interface'iniz olacak
bu durumda her vlan'a istediğinizi gibi otomatik ya da manuel ip dağıtabileceksiniz
misafirlerin olduğu interface için de captive portal'ı aktif edeceksiniz.

bu noktada sıkıntı çıkacak bir yer yok gibi geliyor bana :)

hoscakal

dediğini tam olarak anlayamadım kusura bakma anlamadığım kısımları yazayım biraz daha açıklayıcı yazabilirsen sevinirim

pfsense üzerinde

vlan oluşturmaya çalıştığımda benden interface seçmemi istiyor..
bende lan interface ini seçiyorum tag numarası herhangi bir numara veriyorum açıklamasına misafir yazıp kaydediyorum. (şu an yönetilebilir switch yok elimde..)
dhcp server a geldiğimde landan başka bir seçenek gözükmüyor… dhcp server'ı açtığımda lan vlan1 vlan2 vlan3 diye çıkması lazım diye düşünüyorum :S

ve her vlan için hangi ip yi dağıtacağımı elle girerek ayarlamalıyım

client'ı nasıl tanıyacak hangi vlan a ait olduğunu? pfsense neye göre hangi ip yi verecek ayrıca dhcp de lan haricinde gözüken bir yer yok vlan oluşturmama rağmen...

hoscakal

kusura bakma :D

vlan ı eklemişim ama interface olarak eklememişim dhcp server kısmında vlanlar gözüktü ancak

yazdığım gibi

yeni pc yi ağa soktuğumda hangi segmentten ip alacağını nerden bilecek bunun için illaki yönetilebilir switch mi lazım ?

zack

Merhabalar,

Vlan kullanacaksanız Layer2 yönetilebilir switch sahibi olmanız gerekir. Yönetilemez bir switch te vlan oluşturup kullanamazsınız. Ayrıca Switch üzerinde oluşturduğunuz vlanid ler ile pfsense de oluşturacağınız vlanid ler aynı olmak zorunda.Örneğin;
24 port L2 yönetilebilir switchiniz var. Kullanmaz istediğiniz 3 vlan var. 1-8 kadar olan portları vlan10  olarak 8-16 arası vlan20 16-20 arasını vlan 30 olarak ayarladınız. Pfsensin bağlı olduğu switch portunu trunk port olarak bağlamalısınız ki pfsense bütün vlanları tanıyabilsin. Pfsense te de interface kısmından vlan ları interface olarak tanımlamanız gerekiyor. Zaten DHCP tabında da ekli olan bütün interfaceler için ip dağıtımını sağlayabiliyorsunuz.

hoscakal

evet bu açıklama gayet net bir şekilde yapmak istediğimi nasıl yapacağımı açıkladı teşekkürler

asıl yapı şu

6 katlı bina düşünün her katta 16-24 lük normal switch ve wireless yayın sağlayacak wireless yayını yapacak Access point olacak dhcp kapalı sadece ağa dahil edecek ve kendi katındaki switch e bağlı olacak..

en alt katta yönetilebilir switch olacak her kattaki switchten yönetilebilir switch e 1 kablo çekilecek…

çektikten sonra 1 nolu port vlan1 deyip 1 kattaki switch e bağlanan client lar aynı zamanda vlan a dahil olurlar mı ? mantıken olmaları lazım..

pfsense ile yönetilebilir switch arasındaki bağlantıyı trunk yaptığımda dediğiniz gibi tüm vlanları görecektir..

pfsense de vlan kurarken idler dediğiniz gibi aynı olmak kaydıyla trunk yaptığım Ethernet kartı üzerinden 6 kat için interface oluşturmam yeterli olacaktır

peki tüm bu vlanlar başka hiç bir rule oluşturmadan internet e çıkabilecekler mi ?
birbirlerine erişim zaten olmayacak başka ne ayar yapmak gerekebilir

tuzsuzdeli

Aynen son mesajınızda yazdığınız gibi yapacaksınız

Velakin, her bir interface için hangi yönde nelere izin veriyor-vermiyor iseniz kural yazmanız gerekir.

hoscakal

tek sorun kaldı aklımda…

bi tane serverımız var sadece muhasebe birimi kullanıyor ve dışardan da uzak masaüstü olarak erişim var...
nat kısmında sorun olmaz o server ı da sadece muhasebeye ait vlan a tanımlayacam sorun kalmayacak dışardan da natla erişim sağlarım...

ama birde tüm şirket çalışanlarının ulaşması gereken nas server ımız var

bunun da yönetilebilir switch takıp portunu trunk mı yapmam lazım ?

ayrıca dışarıdan vpn le de giriş olacak ve bu nas taki belgelere ulaşması gerekecek...

pfsense nin portunu trunk yaptığımızda tüm vlanlardan pfsense ye ulaşım olacak demektir..

ayrıca doğal olarak benimde tüm vlanlara erişmem gerekecek... sadece trunk yapmak yeterli mi yoksa başka yöntem var mı

ayrıca l2 layer larda vlanlar arası routing yok ihtiyaç olması durumunda vlanlar arası nasıl erişim sağlanır ?

tuzsuzdeli

ben olsam nas'ıda ayrı bir vlan'a koyarım.
Vlanlar arası erişimi de firewall kuralları ile düzenlerim.
Kullanıcıların olduğu tüm Vlanların, nas'ın olduğu vlan'a erişimini açarım. (tüm portları da açabilirsiniz sadece lazım olanları da)

Aynı şekilde vpn ile dışarıdan geldiğinizde de, o da firewall ekranında yeni bir tab açacak. Vpn ile gelenlerin izinleri için de ona kural yazacaksınız. (nas'a erişsin, diğer vlanlara erişmesin gibi)

Aslında tüm sorularınızın cevabı aynı. Firewall rules.

Bütün trafiğin pfsense üzerinden geçeceği bir durum yaratıyorsunuz.
pfsense'in switche bağlandığı kart ve kablonun kalitesine çok önem verin ki orada bir darboğaz olmasın.

Normalde vlan ile yapılandırmayıp, tüm cihazları tek networkte yapsa idiniz, kullanıcıların birbiri olan iletişimi switch içerisinde olacaktı. Switchlerin de genelde anahtarlama kapasitesi port sayısı çarpı hız kadar oluyor.

Ancak tüm trafiği pfsense üzerine alacağınız için, bu tek portun hızı sizin darboğazınız olabilir.

Örnek veriyorum : iki kullanıcı birbirine 3gb veri transfer ediyorken, bütün networkunuz bundan biraz etkilenecek. Ancak vlanlı yapı olmasaydı, bu trafik sadece bu iki kullanıcı arasında ve switch içerisinden geçecekti. Başka iki kullanıcınız birbirleri ile transferde bundan etkilenmeyecekti.

Bir de iöyle bir riskiniz var.

Pfsense makinesine birşey olursa ne yapacaksınız ? Acil durumda sistemi mutlaka başka bir donanımla yedeklemiş olmanız gerekli ki iş kaybı yaşamayın.

Neyse uzatmayayım benim aklıma gelenler bunlar,

hoscakal

evet dediğiniz gibi tüm sistem pfsense üzerine kuruluyor tüm giriş çıkışlar onun üzerinden gerçekleşecek aslında

bu kadar uğraşmaya gerek yok dediğiniz gibi hepsini vlanlara bölmeden

switchler aracılığı ile bağlar pfsense de ip dağıt der geçerim

şu an zaten öyle bir yapı kullanıyorum 2 switch var 16 lık  iki switch arası bi kablo atılı

pfsense de bu switchlerden birine bağlı ip yi dağıtıyor dışardan giriş çıkışlar bunun üzerinden yürüyor..

ama bu çalışmada misafir kişi de benimle aynı ağda geziniyor..

tek bir şey için bana lazım vlan oda misafir hattı için benimle aynı segmentte bulunmaması lazım kendi başına farklı bi segmentten internete çıksın gitsin.. yabancı birinin bilgisayarı ağıma dahil olmasın

2 farklı segment çalıştırmak içinde yönetilebilir switch lazım iş buralara gelince ben de dedim her katı böleyim vlanlara yoksa aklımda böyle bir niyet yoktu…

senin bu konuda önerin ne olur ? ne tavsiye edersin.. ya da sen nasıl bir yol izlerdin..

dhcp log unu tutmak ta var işin içinde

tuzsuzdeli

pfsense makineye 1 ethernet kart daha takabiliyor musun ?

Eğer öyle ise, o karta bir tane wireless access point bağlar, onu da misafirlere ayırırsın. Böylece senin local ağına herhangi bir erişimleri olmaz.

Birden fazla AP bağlayacaksan da, bahsettiğim ethernet kartını yeni bir switche takar, tüm AP leri de bu switchin diğer portlarına bağlayıverirsin.

hoscakal

komplex yapılarla uğraşmak güzel oluyor aslında :)
daha fazla şeye öğrenmeye itiyor sizi bilişim sektöründeki en önemli şeydir merak edip uğraşma

vlan'lar normalde çok büyük ve çok switch li ağlarda daha çok kullanılır benim yapımda da 6-7 tane ye varan switch olacak ama
kullanıcı sayısı maksimum 30 ve iphone  SIII ve ipad ler havada uçuşuyor tabi :)) tabi altyapıyı en az %50 artacak şekilde hazırlıyorum.

3 ethernetli bi pfsense makinesi var

biri wan
biri lan
biri wireless olabilir

pfsense'den benim ağıma dahil olmayan switch'e kablo çekeceğim ve switch'den de misafir katlarında bulunan Access'lere çekeceğim captive portalı aktif edeceğim

3. Ethernet'i de farklı bir lan gibi kullanacağım yani anladığım bu dediğinden tavsiyelerin için teşekkürler

bakalım bu sistemde 5651 için pfsense uyarlanmış yöntemle loglama da sorun çıkacak mı..

ayrıca bu yapıda squid kullanmak istersem ki isteyeceğim nelere dikkat etmem gerek ?

senin şu an kullandığın yapı nasıl anlatabilir misin ne kadar karmaşık ya da stabil ?

tuzsuzdeli

squid için özel birşey yapmana gerek olmayacaktır.
zaten squid kendi kendine çalışıyor :) çok müdahele edilecek bir yeri yok gibi geliyor bana.

ben vlan'lı bir yapı kullanmıyorum.
-1 tane kablolu lan var
-3 tane adsl var
-1 tane wireless ethernet kart var. misafirler için
-1 tane de acces point bağlı ethernet üzerinde ayrı bir lan var, bunu da şirket mobilleri kullanıyor
-1 ipsec üzerinde bir şube var

tüm bunların birbirleri ile olan erişimleri tamamen firewall kuralları ile düzenli.

Örneğin, şirket içi mobil cihazlar web ve içerdeki exchange dışında hiçbirşeye erişemiyorlar.
Misafirler tamamen izole.
ipsec üzerindeki şube için karşılıklı tüm trafik serbest
Lan tarafından internete sadece exchange sunucusu mail atabiliyor clientlar atamıyor
vesaire gibi

hoscakal

@tuzsuzdeli:

ben vlan'lı bir yapı kullanmıyorum.
-1 tane kablolu lan var
-3 tane adsl var
-1 tane wireless ethernet kart var. misafirler için
-1 tane de acces point bağlı ethernet üzerinde ayrı bir lan var, bunu da şirket mobilleri kullanıyor
-1 ipsec üzerinde bir şube var

senin yazdıklarına istinaden bende şöyle ufak bir kaç değişiklik yapmayı düşünüyorum

cisco'nun network similasyonu ile başarılı şekilde vlanları oluşturup her vlan a farklı segmentte ip dağıttım.

ama dediğim bu kadar çok vlan lı sisteme ihtiyacımız var mı ? açıkçası yok…

son olarak kafamda şekillenen şu

yeni yerimizde 2 tane en yüksek hızda olabilecek adsl varsa fiber ama yok sanırım..

iki hattı failover yapacam ip sec yapmıyoruz genelde kullanıcı bazlı ihtiyacı olan kullanıcıyı openvpn ile dahil ediyorum ağa çok ihtiyacımız yok yani vpn

2 hattı da bridge bağlayacağım

1 lan olacak bu lan içinde Access pointler olacak şifre ile ağa dahil olacaklar ama mac adresi tanımlı değilse dhcp ip dağıtmayacak

son Ethernet i de misafirler için ayıracağım pfsense den switch e çıkış yapacağım o switch e de Accessleri bağlayacağım yine captive portal aktif olacak bu hatta

şimdilik böyle planım inş sıkıntı çıkmadan atlatırım :)

sağol tekrar görüşlerini paylaştığın için

tuzsuzdeli

Rica ederim.
Sonuçları lütfen paylaşın burada

masterweb

merhaba şöyle bir sistem kurdum.

bir desktop a 2 ethernet kartı taktım vexp kurdum ve üzerine vmware kurarak pfsense kurdum ethernetlerin birini wan birinida lan olarak ayarladım.

modemden gelen kabloyu wan bacagına taktım, lan bacagındakini ise procurve swiche taktım, swichde taktıgım port için bir vlan oluşturdum ve farklı grupta ip verdim.

wi-fi baglantıları için de hp ap de vlan oluşturdum ve swichde oluşturdugum aynı ip blogunu verdim.

fakat çalışmıyor.

konu üzerindeki bilgileri okudum sanırım swich üzerinde ayırdıgım portu trunk yapmam gerekiyor aynı zamanda pfsense üzerindede interface vlanı oluşturmayılım.

bu işlemleri yaptıktan sonra eklemem gereken bir şey olucakmıdır ?

hoscakal

@masterweb:

merhaba şöyle bir sistem kurdum.

bir desktop a 2 ethernet kartı taktım vexp kurdum ve üzerine vmware kurarak pfsense kurdum ethernetlerin birini wan birinida lan olarak ayarladım.

modemden gelen kabloyu wan bacagına taktım, lan bacagındakini ise procurve swiche taktım, swichde taktıgım port için bir vlan oluşturdum ve farklı grupta ip verdim.

wi-fi baglantıları için de hp ap de vlan oluşturdum ve swichde oluşturdugum aynı ip blogunu verdim.

fakat çalışmıyor.

konu üzerindeki bilgileri okudum sanırım swich üzerinde ayırdıgım portu trunk yapmam gerekiyor aynı zamanda pfsense üzerindede interface vlanı oluşturmayılım.

bu işlemleri yaptıktan sonra eklemem gereken bir şey olucakmıdır ?

öncelikle madem desktop pc niz var niye xp üzerine vmware kurdunuz ? direk pfsense'i niye kurmadınız ?

dhcp görevini hp ap'leriniz görecekse pfsense üzerinde bir işlem yapmanıza gerek yok ama pfsense'nin lan bacağını switch üzerinde trunk yapmanız lazım ki tüm ap'leri ve arkasındaki bilgisayarları görebilsin.

ap ler üzerinde yapmanız gereken
lan bloğunu switch üzerinde nasıl ayarladıysanız o şekilde değiştirmek ve dhcp'sini açmak yeterli olacaktır

switch in 1 nolu portu pfsense'nin lan bacağı diyelim bu port trunk olacak 192.168.1.1 pfsense ip'si
switch'in 2 nolu portu vlan20 192.168.2.1
switch'in 3 nolu portu vlan30 192.168.3.1

(bu yazdığım ip switch'in o porttaki kendi ip'sidir. ona erişmek için kullanacağınız ip yani //  ap'in ipsi 192.168.2.2 olarak ayarlanmalı ve 192.168.2.3'den başlayarak dhcp dağıtımına başlaması gerek)

tekno

@ hoscakal  access point lerde WPA enterprise ile radius ayarlayip pfsense uzerinde radius sunucu yapilandirarak misafir/personel agi sekillendirilebilir sanirim. radius sunucuda kullaniciya gore ip tanimlama gibi bir secenek var.
acikcasi bu yapiyi kurmak icin bayagi kastim ama basarili olamadim :)

hoscakal

kullanım yerine göre değişir.

benim şirket içindeki yapım şu şekilde

4 kartlı pfsense mevcut
1 TTnet ADSL
1 Uydu net
1 LAN
1 Misafir LAN

Drytek Vigor AP800 Accesslerim var bunlardan iki kablo çıkıyor biri kat switch'ine diğeri şirket ağına dahil olmayan bir switch'e gidiyor. Yönetilebilir switch varsa buna gerek yok IEEE 802.1q ile halledilir ama dhcp'yi loglama zorunluluğumuz olduğu için böyle bir yol izledim.

Switch'de direk pfsense'nin Misafir LAN bacağına bağlı

Freeradius ve Captive Portal ikilisini kullanıyorum misafir hattı için

Şirket çalışanlarının hattında ise

DHCP ile MAC bind yapılı olup bilinmeyen mac adreslerine ip dağıtılmamakta ama akıllı kullanıcılar ip bloğunu biliyorsa elle ip verip İnternet'e çıkmaya çalışıyorlar bunu da şöyle engelledim
HP 2520 L2 Switch ile Port korumasını aktif ettim bu ne demek

switch'in bir nolu portuna a kullanıcısının MAC adresini yazdım bu port'a başka bir mac adresli cihaz takıldığında switch seni ağa dahil etmiyor.
kullanılmayan portları da switch üzerinden kapatarak baya bir güvenlik sağlamış oldum.

Uydu net ve TTnet internetleri failover şeklinde yapılandırılmış durumda yani biri giderse diğeri devreye girecek şekilde ayarladım

misafir hattaki amacım x kişi ağa bağlanıp benim server yazıcı ve çalışan bilgisayarlarına erişim sağlamaması internetine çıksın yeter.

dediğin yöntemle bunu ayarlamak pek mümkün gelmedi bana misafir ve çalışan ayrı ip blokları kullanmakta freeradius ayarladın ip bloklarını farklı verdiğini varsayıyorum gateway olarak ne yazacaksın baya detay var o dediğin yapıda